evidence-eliminator

[Stigter]

Krijgen we nu een nieuw soort email?
Die zonder te lezen (auto-voorbeeld) een popup laat open gaan en je dan de kl@re schrikken?


Het vreemde vindt ik wel dat mijn nis2003 up to date is, gebruik privacy opties en blokkeer ad-funktie...

Voor de nieuwsgierigen onder ons
You have a big problem

Wat doe ik eraan dat ik me in het vervolg niet meer rotschrik (ja, oke, geen warez meer..............)

 

[Bennie]

Spyware op je PC? Nou ja, je weet de weg

Groetjes,
Bennie

 

[Stigter]

Ja, denk het wel, maar ik heb gisteren nog gescanned met spybot en adaware..
Geen vreemde dingen gevonden...

Krijg emailtje, verwijder hem en dan een popup..

Het zal niet zo'n vaart lopen waarmee zij dreigen lijkt mij.. En ben ook zeker niet van plan om het progje aan te schaffen wat zij aanbevelen...

 

[Stigter]

Trouwens
word hij niet herkend door spywareguard en spywareblaster??
Die heb ik juist voor de zekerheid afgelopen week ook op de computer geinstalleerd..

 

[Bennie]

Lees jij je mail altijd in HTML? Het kan dus ook een scriptje zijn in de e-mail. Heb je alle beveiligings-updates? Welke versie van de Microsoft Virtual Machine gebruik je nu? Typ cmd in start\uitvoeren en daarna achter de prompt jview.

Groetjes,
Bennie

 

[Stigter]

Ja, ik bekijk wel mijn email in html..
wat bedoel je met jview?
ik krijg dit te zien:

Microsoft Windows XP [Version 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.


C:\Documents and Settings\A. Stigter>jview
Microsoft (R) Command-line Loader voor Java versie 5.00.3810
Copyright (C) Microsoft Corp 1996-2000. Alle rechten voorbehouden.

Gebruik: JView [opties] <klassenaam> [argumenten]

Opties:
/? geeft tekstgebruik weer
/cp <klassepad> klassepad instellen
/cp <pad> pad invoegen voor klassepad
/cp:a <pad> pad toevoegen aan klassepad
/n <naamruimte> naamruimte waarin uitgevoerd
/p pauzeren voor beëindiging als fout optreedt
/v alle klassen verifiëren
/d:<naam>=<waarde> systeemeigenschap definiëren
/a AppletViewer uitvoeren

Klassenaam:
.CLASS-bestand dat wordt uitgevoerd.

Parameters:
parameters op de opdrachtregel die worden doorgegeven aan het klassebestand

C:\Documents and Settings\A. Stigter>

Weet jij zo voldoende?
Er zijn geen beveiligingspatches te halen meer bij microsoft en symantec. Ook The Cleaner en spywareguard zijn up to date.

Overigens alleen iets van cydoor gevonden met adaware.. Heb wel vandaag imesh lite geinstalleerd? Begin van dit probleem?

 

[Bennie]

Ok, je hebt in ieder geval de laatste versie van de Virtual Machine. In wat oudere versies zit een beveiligingslek (die dit soort dingen zouden kunnen veroorzaken).

HTML is niet verstandig (ik gebruik het NOOIT). Juist vanwege allerlei vage scriptjes die geactiveerd kunnen worden.

Bedoel je dat je ná het installeren van Imesh Lite nog Spyware hebt aangetroffen? Of er een relatie is, valt moeilijk te zeggen. Ik ben zelf geneigd te geloven dat er een andere, diepere oorzaak is. Maar wat? Ik ben ook nog zoekende...

Groetjes,
Bennie

 

[Stigter]

Dat bedoel ik Bennie..

Ik draai tegenwoordig standaard de genoemde beveiligingen, zou dus save moeten zijn....
Ik heb net adaware en spybot gedraaid.. Hij kwam niets bijzonders tegen, behalve de cydoor....

Die ik overigens wel heb verwijderd...

Overigens heb jij wel de bewuste link bekeken of niet??
Ik weet niet of het zo verstandig is om die te laten staan..

Hijack this en startmanager laten in ieder geval geen rare dingen zien..

[edit]
het rare wat ik zelf had opgemerkt is dus standaard volgens mij, in vorige log van 27 juni stond hij ook al
[/edit]

Het is niks als je thuis bent, je loopt de hele dagen achter pc te zitten en waar eindig je mee? En waar begin je mee?

 

[caveman]

Als ik "They know you are using: Netscape v$1.x" zie , moet ik al lachen, hoor. Klopt niet eens...

Een scriptblocker heb je of nog niet?

 

[Bennie]

Je hebt nu alleen je startuplist laten zien. Post ook je Hijackthislog

Ik zie wel dat je Winbar heb geïnstalleerd. De website claimt dat er geen Spyware in zit of Adware. Ik vertrouw zelf die proggies voor geen cent.

Ik heb je link gezien. Maar zoiets kan iedereen met een beetje verstand van HTML in elkaar draaien. Het gaat erom dat die wordt opgestart vanuit een e-mail. En dat is foute boel natuurlijk

Die *.dll-bestanden zijn gewoon Windowsbestandjes: niks mis mee.

Groetjes,
Bennie

 

[Stigter]

@ Caveman,
een scriptblokker heb ik nog niet.. maar wellciht dat jij een goede weet?

En natuurlijk weet ik ook dat dit pure reclame rommel is, maar het gaat mij erom dat ik explorer UIT had staan, ik in autovoorbeeld die email verwijder en hij dan een popup veroorzaakt..

Krijgen we nu een nieuw soort email?
Die zonder te lezen (auto-voorbeeld) een popup laat open gaan en je dan de kl@re schrikken?

 

[Stigter]

@Bennie,
Winbar heb ik al een tijdje, en volgens mij geen spyware daarvandaan.. Ik vind het een handig progje die in 1 opzicht laat zien wat je van je pc vergt..

op verzoek hier de hijack this log. Maar naar mijn mening zijn hier geen veranderingen ingekomen.

Logfile of HijackThis v1.95.0
Scan saved at 20:12:45, on 3-7-2003
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Norton Personal Firewall\NISUM.EXE
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\PROGRA~1\THECLE~1\tca.exe
C:\Program Files\AnalogX\NetStat Live\nsl.exe
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\Program Files\SpeedFan\speedfan.exe
C:\Program Files\SpywareGuard\sgmain.exe
C:\Program Files\WinBar\WinBar.exe
C:\Program Files\SpywareGuard\sgbhp.exe
C:\Program Files\Norton Personal Firewall\ccPxySvc.exe
C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
C:\Program Files\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Program Files\Messenger\msmsgs.exe
C:\PROGRA~1\MICROS~2\Office\OUTLOOK.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\DllHost.exe
C:\Documents and Settings\A. Stigter\Start Menu\Programs\Security\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=http://www.helpmij.nl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page=C:\WINDOWS\System32\blank.htm
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program Files\SpywareGuard\dlprotect.dll
O2 - BHO: (no name) - {7559B76E-0222-4d77-9499-CCE9EB4EDC2F} - C:\PROGRA~1\AdShield\AdShield\AdShield.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [tcactive] C:\PROGRA~1\THECLE~1\tca.exe
O4 - HKLM\..\Run: [NetStat Live] C:\Program Files\AnalogX\NetStat Live\nsl.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Program Files\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - Startup: SpeedFan.lnk = C:\Program Files\SpeedFan\speedfan.exe
O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe
O4 - Startup: WinBar.lnk = C:\Program Files\WinBar\WinBar.exe
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: &Maintain Block List... - C:\PROGRA~1\AdShield\AdShield\maintain.htm
O8 - Extra context menu item: Add to &Block List... - C:\PROGRA~1\AdShield\AdShield\suppress.htm
O8 - Extra context menu item: AdShield Option &Settings... - C:\PROGRA~1\AdShield\AdShield\settings.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: Search Using Copernic Agent - C:\Program Files\Copernic Agent\Web\SearchExt.htm
O9 - Extra 'Tools' menuitem: Launch Copernic Agent (HKLM)
O9 - Extra button: Copernic Agent (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O9 - Extra button: AdShield (HKCU)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Helaas heb ik het bewuste emailtje niet meer, zodat ik deze niet kan laten zien

 

[caveman]

Dit zou ook al in NIS moeten zitten onder Options/Internet Security/Advanced Options. Tenzij die alleen voor IE werkt.

 

[Stigter]

Geplaatst door caveman
Dit zou ook al in NIS moeten zitten onder Options/Internet Security/Advanced Options. Tenzij die alleen voor IE werkt.

Bedoel je deze?
Ik heb hem nu op blocked gezet

En weer terug veranderd naar permit..

 

[Bennie]

In je log zie ik geen ellende of andere narigheden. De functie "auto-voorbeeld" mag misschien handig zijn, maar is ook erg gevaarlijk: lees vanaf "You also need to note two very important things":
http://www.blkviper.com/Articles/OS/Email/filter1.htm

Loop nog eens kritisch je beveiligings-opties langs in IE, en dan met name je ActiveX-besturingselementen. Staat daar alles op "Inschakelen"?

Groetjes,
Bennie

 

[Stigter]

Nee, het merendeel staat op prompt, behalve als het "gecerificeerd is" of in die trant..

Ik heb in ieder geval wel de optie html autovoorbeeld uitgezet... Hoop dat het voldoende is...

Ik zlef dacht al dt er geen bijzonderheden waren in hijackthis, maar nu is dat in ieder geval zeker.

Voor nu vind ik het probleem opgelost, mocht ik van de week nog een keer zoiets hebben (wat nu uitgesloten zou moeten zijn) meld ik me weer..

Bedankt in ieder geval.

 

[Stigter]

Nog even terug komend op de internet beveiliging, zie plaatje, kan ik die allemaal op prompt of disabled zetten?
Of is het dan niet meer prettig werken met ie..?

 

[Bennie]

Plakbewerkingen via scripts zou ik uitschakelen. Je kan de rest zelf wel op vragen stellen. Als dat té veel je surfplezier vergalt, kan je ze terugzetten op Inschakelen.

Vergeet overigens ook niet de ActiveX besturingselementen. (Helemaal bovenaan). Ook daar geldt eigenlijk hetzelfde.

Groetjes,
Bennie

 

[Stigter]

En wederom bedankt Bennie

 

[saldos]

Stigter,

Ik ben zelf ook naar de link gegaan:

link

En ik kan me voorstellen dat je je schrik als je dit ziet.
Iedereen zou daarin trappen.

Maar als ik naar jouw screenshot kijk van die evidence eliminator, dan zie ik dat je goed beveiligd bent. Je gebruikt de privacy control namelijk.
Daardoor kunnen ze namelijk alleen jou IP adres, je provider, welke I.E. je hebt, en welke windows je hebt.
Dit is normaal als je naar een site gaat.

Als je jouw privacy control namelijk uitzet, dan kunnen ze namelijk ook zien naar welke sites je bent geweest voordat je daar kwam en dan ziet het er zo uit.
Ik heb mijn ip adres even verwijderd, maar je kunt dan wel zien op welke site ik de laaste keer ben geweest:

p.s. die vraag van: "do you family know this what you have been looking at?" hebben ze natuurlijk zelf verzonnen. Dat begrijp je hopelijk wel. LOL